Что такое служба nfs
Русские Блоги
Введение в службу NFS
Каталог статей
Как работает NFS
Что такое NFS-сервер
Принцип монтирования NFS
Что такое служба rpc
Принцип связи NFS
Как взаимодействуют RPC и NFS
portmap
Функция: в основном преобразование номера программы RPC в номер порта Интернет.
Возможности: Помогите сетевому приложению найти правильный порт только при первом установлении соединения. Когда две стороны правильно подключены, порт привязан к приложению, и карта порта бесполезна. Эквивалент свахи.
RPC: удаленный вызов процедур, например NFS
, например: окно — служба— 
Подобно принтеру, соответствующая программа на вашем компьютере вызывает соответствующую программу на принтере для работы.
Процесс взаимодействия клиента NFS и сервера NFS
Преимущества и недостатки службы NFS
преимущество
А. Экономьте место на локальном хранилище, храните часто используемые данные на сервере и получайте к ним доступ через сеть
б. Просто и удобно
c. Удобное очень быстрое развертывание и очень простое обслуживание
Недостаток
а. Ограничения. Склонность к единой точке отказа, сервер не работает и все клиенты не могут получить доступ.
б. Эффективность / производительность NFS ограничены при высоком уровне параллелизма.
c. Клиент не использует механизм аутентификации пользователя, и данные передаются в виде простого текста с общей безопасностью (обычно рекомендуется использовать в локальной сети)
d. Данные NFS представлены в виде обычного текста, и целостность данных не проверена.
д. Когда сервер NFS монтируется на нескольких компьютерах, управление подключением и обслуживание затруднены.
развернуть
]# systemctl restart nfs
Общие каталоги и файлы
/etc/exports
/usr/sbin/exportfs
/usr/sbin/showmount
/var/lib/nfs/*tab
etab Записать полное значение настройки разрешений для каталога, совместно используемого NFS.
xtab записывает связанные данные клиента после связывания с этим хостом NFS.
Файл конфигурации
/etc/exports
формат
Выходной каталог Параметры клиента [права доступа, сопоставление пользователей, другое]
Выходной каталог: путь к общему каталогу
Клиент: пользовательский объект службы.
Вариант: общие разрешения, перечисленные рядом с клиентом
cat /etc/exports
/test *(ro)
Ro
rw
# Общий / тестовый каталог, * Разрешения для всех пользователей (ro) доступны только для чтения
Дело номер один
Приведенная выше командная строка означает: смонтировать каталог / share на 192.168.1.1 как раздел в каталог / mnt на машине.
[email protected] mnt]#mkdir: cannot create directory `mydir’: Permission denied
Поскольку параметр ro добавляется в командную строку на шаге (2), у всех есть доступ только для чтения к общему каталогу.
OpenSource в заметках
Что такое NFS и зачем это нужно
Каждый знает, что в UNIX-системах файловая система логически представляет собой набор физических файловых систем, подключенных к одной точке. Одна из самых основных прелестей такой организации, на мой взгляд, состоит в возможности динамически модифицировать структуру существующей файловой системы. Также, благодаря усилиям разработчиков, мы на сегодняшний день имеем возможность подключить ФС практически любого типа и любым удобным способом. Говоря «способом», я прежде всего хочу подчеркнуть возможность работы ядра ОС с файловыми системами посредством сетевых соединений.
Множество сетевых протоколов предоставляют нам возможность работы с удаленными файлами, будь то FTP, SMB, Telnet или SSH. Благодаря способности ядра, в конечном итоге, не зависеть от типа подключаемой ФС, мы имеем возможность при помощи программы mount подключать что угодно и как угодно.
Сегодня мне хочется рассказать об NFS — Network File System. Эта технология позволяет подключать отдельные точки ФС на удаленном компьютере к файловой системе локального компьютера. Сам протокол NFS позволяет выполнять операции с файлами достаточно быстро, безопасно и надежно. А что нам еще нужно? 🙂
Что необходимо для того, чтобы это работало
Чтобы долго не разглагольствовать на тему версий NFS и их поддержку в различных ядрах, сразу сделаем допущение, что версия вашего ядра не ниже 2.2.18. В официальной документации разработчики обещают полную поддержку функционала NFS версии 3 в этом ядре и более поздних версий.
Установка
Для запуска сервера NFS в моей Ubuntu 7.10 — the Gutsy Gibbon понадобилось установить пакеты nfs-common и nfs-kernel-server. Если же нужен только клиент NFS, то nfs-kernel-server устанавливать не нужно.
Настройка сервера
После того, как все пакеты успешно установлены, необходимо проверить, запущен ли демон NFS:
Если демон не запущен, его нужно запустить командой
После того, как все успешно запустилось, можно приступать к экспорту файловой системы. Сам процесс очень прост и занимает минимум времени.
Основной файл конфигурации NFS-сервера располагается в /etc/exports и имеет следующий формат:
directory — абсолютный путь к каталогу ФС сервера, к которому нужно дать доступ
machineX — DNS-имя или IP-адрес клиентского компьютера, с которого разрешается доступ
optionXX — параметры экспорта ФС, наиболее часто используемые из них:
Итак, допустим, нам нужно дать доступ компьютеру ashep-desktop к каталогу /var/backups компьютера ashep-laptop. Доступ к каталогу необходим для копирования резервных копий файлов с ashep-desktop. У меня файл получился следующим:
После добавления строки в /etc/exports необходимо перезапустить сервер NFS для вступления изменений в силу.
Вот и все. Можно приступать к подключению экспортированной ФС на клиентском компьютере.
Настройка клиента
На клиентской стороне удаленная файловая система монтируется так же, как и все остальные — командой mount. Также, никто не запрещает вам использовать /etc/fstab в случае, если подключать ФС нужно автоматически при загрузке ОС. Итак, вариант с mount будет выглядеть так:
Если все прошло успешно и вам необходимо выполнять подключение к удаленной ФС автоматически при загрузке — просто добавляем строку в /etc/fstab:
Что еще
Вот и получился практический, малюсенький обзор возможностей NFS. Конечно, это всего лишь малая часть того, что умеет NFS. Этого достаточно для использования дома или в небольшом офисе. Если же вам этого недостаточно, рекомендую в первую очередь прочесть NFS HowTo.
NFS для домашних пользователей : 2 комментария
Прикольно написано. А вообще, поздравляю автора блога и всех его читателей с сегодняшним праздником — Днем России. Ура, товарищи! 🙂
Можно только догадываться, что это клиентский компьютер.
> если вы на сервере экспортируете не весь раздел,
— раздел чего — жесткого диска или хз, тоже не сказано
Что такое служба nfs
ѕЯХаРжШЮЭЭРп бШбвХЬР ЯЮФФХаЦШТРХв ЯЮбЫХФЭХХ ЮСЭЮТЫХЭШХ ТХабШШ 3 ЯаЮвЮЪЮЫР NFS, Р вРЪЦХ ТЪЫозРХв ЪЫШХЭв Ш бХаТХа NFS ТХабШШ 2.
їаШЬХзРЭШХ: єЮЬЯмовХа ЬЮЦХв Слвм ЮФЭЮТаХЬХЭЭЮ Ш бХаТХаЮЬ, Ш ЪЫШХЭвЮЬ NFS.
ґРЭЭго дгЭЪжШо ЮСХбЯХзШТРХв ЯаЮУаРЬЬР RPC, ЮбгйХбвТЫпойРп ЮСЬХЭ ФРЭЭлЬШ ЮС ACL ЬХЦФг ЪЫШХЭвЮЬ Ш бХаТХаЮЬ. ІЪЫозХЭШХ ЯЮФФХаЦЪШ ACL ЭХ ТЫШпХв ЭР ФХЩбвТШп ЯаЮвЮЪЮЫР NFS; нвР дгЭЪжШп пТЫпХвбп ЭХЧРТШбШЬЮЩ.
ѕЯХаРжШЮЭЭРп бШбвХЬР ФЮСРТЫпХв бЯШбЪШ ACL Т бвРЭФРавЭго дРЩЫЮТго бШбвХЬг. їЮбЪЮЫмЪг ЮСлзЭлЩ ЯаЮвЮЪЮЫ NFS ЭХ ЯЮФФХаЦШТРХв ACL, ЮСлзЭлХ ЪЫШХЭвл NFS ЭХ ТШФпв бЯШбЪЮТ ACL. їаШ нвЮЬ аРСЮвР ЮСлзЭле ЪЫШХЭвЮТ NFS ЬЮЦХв Слвм ЭРагиХЭР. ЅРЯаШЬХа, ЯЮЫмЧЮТРвХЫм ЪЫШХЭвР NFS ЭР ЮбЭЮТРЭШШ бТЮШе ЯаРТ ФЮбвгЯР аХиРХв, звЮ ФЮбвгЯ Ъ ФРЭЭЮЬг дРЩЫг аРЧаХиХЭ, ЭЮ Т ФХЩбвТШвХЫмЭЮбвШ ЮЪРЧлТРХвбп, звЮ ЯаРТР ФЮбвгЯР ЧРЯаХйХЭл бЯШбЪЮЬ ACL нвЮУЮ дРЩЫР. ѕУаРЭШзХЭШХ ФЮбвгЯР Ъ бХаТХаг ЬЮЦХв Слвм гбШЫХЭЮ бЯШбЪЮЬ ACL бХаТХаР, Ш ЯЮЫмЧЮТРвХЫм ЪЫШХЭвР ЯЮЫгзШв бЮЮСйХЭШХ Ю ЭХФЮбвгЯЭЮбвШ ФРЭЭЮУЮ дРЩЫР.
єЮУФР ЪЫШХЭв ТЯХаТлХ ЮСаРйРХвбп Ъ вЮЫмЪЮ звЮ бЬЮЭвШаЮТРЭЭЮЩ гФРЫХЭЭЮЩ дРЩЫЮТЮЩ бШбвХЬХ, ЭР бРЬЮЬ ФХЫХ ЮЭ ТЧРШЬЮФХЩбвТгХв б ЯаЮУаРЬЬЮЩ RPC ACL ЭР бХаТХаХ.
єниШаЮТРЭШХ дРЩЫЮТЮЩ бШбвХЬл (CacheFS) ЯаХФбвРТЫпХв бЮСЮЩ ЬХеРЭШЧЬ ЪниШаЮТРЭШп ЮСйХУЮ ЭРЧЭРзХЭШп, гТХЫШзШТРойШЩ ЯаЮШЧТЮФШвХЫмЭЮбвм Ш ЬРбивРСШагХЬЮбвм NFS ЧР бзХв гЬХЭмиХЭШп ЭРУагЧЪШ ЭР бХаТХа Ш бХвм. ѕСЫРФРп ЬЭЮУЮбЫЮЩЭЮЩ бвагЪвгаЮЩ, CacheFS ФРХв ТЮЧЬЮЦЭЮбвм ЪниШаЮТРвм ЮФЭг дРЩЫЮТго бШбвХЬг Т ФагУЮЩ. ёбЯЮЫмЧЮТРЭШХ CacheFS Т баХФХ NFS гТХЫШзШТРХв бЮЮвЭЮиХЭШХ ЪЮЫШзХбвТР ЪЫШХЭвЮТ Ъ ЪЮЫШзХбвТг бХаТХаЮТ, гЬХЭмиРХв ЭРУагЧЪг ЭР бХаТХа Ш бХвм, Ш гТХЫШзШТРХв ЯаЮШЧТЮФШвХЫмЭЮбвм ЪЫШХЭвЮТ, бЮХФШЭХЭЭле зХаХЧ ЬХФЫХЭЭлХ ЪРЭРЫл бТпЧШ, ЭРЯаШЬХа ЯЮ ФТгевЮзХзЭЮЬг ЯаЮвЮЪЮЫг (PPP).
БЮЧФРЭШХ ЪниР Т бШбвХЬХ ЪЫШХЭвР гбЪЮапХв ФЮбвгЯ Ъ бЬЮЭвШаЮТРЭЭлЬ дРЩЫЮТлЬ бШбвХЬРЬ, ЯаХФЮбвРТЫпп ЫЮЪРЫмЭлЩ ФЮбвгЯ Ъ ФРЭЭлЬ ТЬХбвЮ ЯХаХФРзШ Ше ЯЮ бХвШ. ґРЭЭлХ ЯЮЬХйРовбп Т Ъни ЯаШ ЯХаТЮЬ ЮСаРйХЭШШ. ґЮ вХе ЯЮа, ЯЮЪР ЯЮЫмЧЮТРвХЫм ЭХ ЧРЯаЮбШв ЪРЪШХ-ЫШСЮ дРЩЫл б бХаТХаР, Ъни СгФХв ЮбвРТРвмбп ЯгбвлЬ. їХаТЮХ ЮСаРйХЭШХ Ъ дРЩЫг ЬЮЦХв ЧРЭпвм ЬЭЮУЮ ТаХЬХЭШ, ЭЮ ЯЮбЫХФгойШХ ЧРЯаЮбл Ъ вХЬ ЦХ дРЩЫРЬ СгФгв ТлЯЮЫЭпвмбп ЧЭРзШвХЫмЭЮ СлбваХХ.
ёбЯЮЫмЧЮТРЭШХ ЮвЮСаРЦХЭШп дРЩЫЮТ ЭХбЪЮЫмЪШЬШ ЯаЮУаРЬЬРЬШ ЭР ЮФЭЮЬ ЪЫШХЭвХ ЮСХбЯХзШТРХв ЯЮТлиХЭШХ ЯаЮШЧТЮФШвХЫмЭЮбвШ. БЮУЫРбЮТРвм ЮСЭЮТЫХЭШп дРЩЫР ЭР ЪЫШХЭвХ ЬЮЦЭЮ ЯгвХЬ ЯЮЮзХаХФЭЮУЮ СЫЮЪШаЮТРЭШп ТбХУЮ дРЩЫР. ЅХбЪЮЫмЪЮ ЪЫШХЭвЮТ ЬЮУгв бЮТЬХбвЭЮ ШбЯЮЫмЧЮТРвм вЮЫмЪЮ вРЪШХ ЮвЮСаРЦХЭШп дРЩЫЮТ, ФРЭЭлХ ЪЮвЮале ЭШЪЮУФР ЭХ ШЧЬХЭповбп (ЭРЯаШЬХа, бвРвШзХбЪШХ СРЧл ФРЭЭле).
їЮбЫХ вЮУЮ ЪРЪ ЪРвРЫЮУ бЬЮЭвШаЮТРЭ, ЪЫШХЭв ЬЮЦХв ЭРзРвм аРСЮвг б ЧРЯаЮиХЭЭлЬШ дРЩЫРЬШ. ѕСаРСЮвЪР ЧРЯаЮбР ЪЫШХЭвР ЭР ЮЯХаРжШШ б дРЩЫРЬШ ТлЯЮЫЭпХвбп бЫХФгойШЬ ЮСаРЧЮЬ: ЯаЮУаРЬЬР-ФХЬЮЭ ЪЫШХЭвР biod ЯХаХФРХв ЮЯШбРвХЫм дРЩЫР ЭР бХаТХа, УФХ ЮФЭР ШЧ ЯаЮУаРЬЬ-ФХЬЮЭЮТ nfsd бзШвлТРХв ЭгЦЭлЩ дРЩЫ. µбЫШ г ФРЭЭЮУЮ ЪЫШХЭвР Хбвм ЯаРТЮ ЭР ТлЯЮЫЭХЭШХ ЧРЯаЮиХЭЭЮЩ ЮЯХаРжШШ, ЯаЮУаРЬЬР-ФХЬЮЭ nfsd ТЮЧТаРйРХв ФХЬЮЭг ЪЫШХЭвР biod ЭгЦЭлХ ФРЭЭлХ.
І дРЩЫХ /etc/exports ЯХаХзШбЫХЭл ТбХ ЪРвРЫЮУШ, нЪбЯЮавШагХЬлХ б бХаТХаР. ѕФЭР бваЮЪР ЧРФРХв ЮФШЭ ЪРвРЫЮУ. НвШ ЪРвРЫЮУШ бХаТХа NFS нЪбЯЮавШагХв РТвЮЬРвШзХбЪШ ЯаШ ЪРЦФЮЬ ЧРЯгбЪХ. ·РвХЬ ЪЫШХЭвл ЬЮУгв бЬЮЭвШаЮТРвм нЪбЯЮавШаЮТРЭЭлХ ЪРвРЫЮУШ. БШЭвРЪбШб бваЮЪ дРЩЫР /etc/exports бЫХФгойШЩ:
їаШЬХа ЧРЯШбХЩ дРЩЫР /etc/exports :
ВаХвмп ЧРЯШбм ЯаШЬХаР ЮЧЭРзРХв, звЮ ЪРвРЫЮУ /var/tmp ЬЮЦХв Слвм бЬЮЭвШаЮТРЭ ЫоСлЬ ЪЫШХЭвЮЬ. (ѕСаРвШвХ ТЭШЬРЭШХ ЭР ЮвбгвбвТШХ бЯШбЪР ФЮбвгЯР.)
їаШЬХзРЭШХ: ѕСЭЮТЫХЭШХ дРЩЫР /etc/xtab ТлЯЮЫЭпХвбп РТвЮЬРвШзХбЪШ, аХФРЪвШаЮТРвм ХУЮ ЭХ ЭгЦЭЮ.
NFS аХРЫШЧЮТРЭР ФЫп бРЬле аРЧЭЮЮСаРЧЭле вШЯЮТ ЪЮЬЯмовХаЮТ, ЮЯХаРжШЮЭЭле бШбвХЬ Ш бХвХТле РаеШвХЪвга. їЮФЮСЭРп гЭШТХабРЫмЭЮбвм NFS ФЮбвШУРХвбп СЫРУЮФРап ШбЯЮЫмЧЮТРЭШо ЯаЮвЮЪЮЫР ІлЧЮТР гФРЫХЭЭле ЯаЮжХФга (RPC).
NFS аХРЫШЧЮТРЭР Т ТШФХ ЭРСЮаР ТлЧЮТЮТ RPC, ЪЮвЮалХ бХаТХа ТлЯЮЫЭпХв ЯЮ ЧРЯаЮбг ЪЫШХЭвЮТ. І бЮЮвТХвбвТШШ б ЮЯХаРжШпЬШ ЭРФ дРЩЫРЬШ, ТлЯЮЫЭпХЬлЬШ ЯаЮжХббЮЬ ЪЫШХЭвР, ЪЫШХЭв ЯХаХФРХв ЭХЮСеЮФШЬлХ ЧРЯаЮбл бХаТХаг. ВРЪШЬ ЮСаРЧЮЬ, NFS ЬЮЦЭЮ аРббЬРваШТРвм ЪРЪ ЯаШЫЮЦХЭШХ RPC.
їЮбЪЮЫмЪг бХаТХа Ш ЪЫШХЭв ЬЮУгв аРбЯЮЫРУРвмбп ЭР аРЧЭле дШЧШзХбЪШе бШбвХЬРе б бЮТХаиХЭЭЮ аРЧЫШзЭЮЩ РаеШвХЪвгаЮЩ, вЮ Ш бЯЮбЮС ЯаХФбвРТЫХЭШп ФРЭЭле ЬЮЦХв ЮЪРЧРвмбп аРЧЫШзЭлЬ. їЮнвЮЬг ЯаЮвЮЪЮЫ RPC ШбЯЮЫмЧгХв ТЭХиЭХХ ЯаХФбвРТЫХЭШХ ФРЭЭле (XDR).
ѕФЭРЪЮ Т ФХЩбвТШвХЫмЭЮбвШ СЮЫмиШЭбвТЮ ЯаЮУаРЬЬ ЭХ ШбЯЮЫмЧгов ЯаЮвЮЪЮЫ XDR ЭХЯЮбаХФбвТХЭЭЮ. ЗРйХ ТбХУЮ ЯаЮУаРЬЬл ЯаХФбвРТЫпов ФРЭЭлХ Т дЮаЬРвХ, еРаРЪвХаЭЮЬ ФЫп РаеШвХЪвгал бТЮХУЮ ЪЮЬЯмовХаР. µбЫШ ТЮЧЭШЪРХв ЭХЮСеЮФШЬЮбвм ТЮ ТЧРШЬЮФХЩбвТШШ б ЪРЪЮЩ-ЫШСЮ ФагУЮЩ ЯаЮУаРЬЬЮЩ, ЯХаХФ ЯХаХФРзХЩ ЮЭР ЯаХЮСаРЧгХв ФРЭЭлХ Т дЮаЬРв XDR. ё ЭРЮСЮаЮв: ЯаШ ЯЮЫгзХЭШШ ФРЭЭле ШЧТЭХ ЯаЮУаРЬЬР ЯаХЮСаРЧгХв Ше Т бТЮЩ вШЯ ЯаХФбвРТЫХЭШп.
І бЫХФгойХЩ вРСЫШжХ ЯаШТХФХЭ бЯШбЮЪ ФХЬЮЭЮТ Ш ЯЮФбШбвХЬ, ЪЮвЮалЬШ ЬЮЦЭЮ гЯаРТЫпвм б ЯЮЬЮймо SRC.
| їаЮУаРЬЬл-ФХЬЮЭл Ш Ше ЯЮФбШбвХЬл | ||
| єРвРЫЮУ дРЩЫР | ёЬп ЯЮФбШбвХЬл | ёЬп УагЯЯл |
| /usr/sbin/nfsd | nfsd | nfs |
| /usr/sbin/biod | biod | nfs |
| /usr/sbin/rpc.lockd | rpc.lockd | nfs |
| /usr/sbin/rpc.statd | rpc.statd | nfs |
| /usr/sbin/rpc.mountd | rpc.mountd | nfs |
| /usr/lib/netsvc/yp/ypserv | ypserv | yp |
| /usr/lib/netsvc/yp/ypbind | ypbind | yp |
| /usr/lib/netsvc/rpc.yppasswdd | yppasswdd | yp |
| /usr/lib/netsvc/rpc.ypupdated | ypupdated | yp |
| /usr/sbin/keyserv | keyserv | keyserv |
| /usr/sbin/portmap | portmap | portmap |
НвР ЪЮЬРЭФР ТаХЬХЭЭЮ ЮбвРЭРТЫШТРХв аРСЮвРойШХ Т бШбвХЬХ ФХЬЮЭл, ШЧЬХЭпХв ЪЮФ СРЧл ФРЭЭле SRC Т бЮЮвТХвбвТШШ б ЭЮТлЬ ЧЭРзХЭШХЬ Ш ЯХаХЧРЯгбЪРХв ФХЬЮЭл.
І ЫоСЮЬ бЫгзРХ Т дРЩЫ inittab ФЮСРТЫпХвбп ЧРЯШбм, гЪРЧлТРойРп, звЮ бжХЭРаШЩ /etc/rc.nfs ФЮЫЦХЭ ЧРЯгбЪРвмбп ЯаШ ЪРЦФЮЩ ЧРУагЧЪХ бШбвХЬл. НвЮв бжХЭРаШЩ, Т бТЮо ЮзХаХФм, ЧРЯгбЪРХв ТбХ ЭХЮСеЮФШЬлХ Т ФРЭЭЮЩ бШбвХЬХ ЯаЮУаРЬЬл-ФХЬЮЭл NFS.
·РЯгбЪРвм ФХЬЮЭл NFS ЬЮЦЭЮ ЪРЪ ЯЮ ЮФЭЮЬг, вРЪ Ш ТбХ баРЧг. ґЫп ЧРЯгбЪР ЮвФХЫмЭЮУЮ ФХЬЮЭР NFS:
єЮЬРЭФР ЮФЭЮТаХЬХЭЭЮУЮ ЧРЯгбЪР ТбХе ФХЬЮЭЮТ NFS:
·РТХаиШвм аРСЮвг ФХЬЮЭЮТ NFS ЬЮЦЭЮ ЪРЪ ЯЮ ЮФЭЮЬг, вРЪ Ш ТбХе ТЬХбвХ. ґЫп ЮбвРЭЮТР ЮвФХЫмЭЮУЮ ФХЬЮЭР NFS:
єЮЬРЭФР ЧРТХаиХЭШп аРСЮвл ТбХе ФХЬЮЭЮТ NFS ЮФЭЮТаХЬХЭЭЮ:
Іл ЬЮЦХвХ гЧЭРвм вХЪгйХХ бЮбвЮпЭШХ ЮвФХЫмЭЮУЮ ФХЬЮЭР NFS ШЫШ ТбХе ФХЬЮЭЮТ баРЧг. ґЫп ТлпбЭХЭШп вХЪгйХУЮ бЮбвЮпЭШп ЮФЭЮУЮ ФХЬЮЭР NFS ЯаХФЭРЧЭРзХЭР ЪЮЬРЭФР:
ґЫп ТлпбЭХЭШп вХЪгйХУЮ бЮбвЮпЭШп ТбХе ФХЬЮЭЮТ NFS ТТХФШвХ бЫХФгойго ЪЮЬРЭФг:
Служба NFS: к чему приводят недостатки настройки
Служба NFS используется для монтирования файловых систем с удаленных компьютеров в локальные каталоги. При правильном управлении доступом ведется строгий контроль за всеми экспортируемыми файловыми системами, и поэтому вероятность раскрытия конфиденциальной информации будет минимальна. Но если параметры экспортирования выбраны неверно, то компьютер будет открыт для атак с любой внешней машины.
Для хранения перечня экспортируемых файловых систем первоначально использовался файл /etc/exports. Ниже приведен формат строк этого файла.
Параметры позволяют задать список компьютеров, которым разрешено монтирование файловой системы, указывают права доступа к файловой системе (только чтение или чтение–запись) и возможность удаленного пользователя работать с правами root по отношению к файловой системе.
Наихудший вариант конфигурации файла etc/exports может выглядеть следующим образом.
В данном случае корневая файловая система экспортируется всем компьютерам и сетям с правами чтения–записи. Выполнив команду mount на удаленном компьютере, любой пользователь сможет смонтировать корневую файловую систему, то есть сможет просмотреть или модифицировать любой файл на данной локальной машине. Формат команды mount.
Меры противодействия неверной конфигурации службы NFS
Чтобы защитить собственные файловые системы от несанкционированного доступа извне, взаимодействие со службой NFS должно быть заблокировано с помощью брандмауэра. Для этого требуется запретить обращение извне к порту 2049. По возможности лучше вообще не запускать службу NFS. Отключить ее можно с помощью редактирования файлов /etc/rc#.d.
Если служба NFS должна работать постоянно, то убедитесь, что экспортируются только необходимые файловые системы. Например, для монтирования начальных каталогов удаленными пользователями экспортируйте только каталог /home вместо корневого каталога /. Проверьте правильность конфигурации службы NFS, изучив файл/etc/exports, и еще раз убедитесь, что ни одна файловая система не экспортируется всем пользователям Internet с правами чтения–записи.
Какие порты использует NFS?
Сетевая файловая система или NFS — это протокол файловой системы, который позволяет пользователям обмениваться каталогами и файлами по сети. Протокол NFS аналогичен протоколу Samba. Однако, в отличие от Samba, NFS предоставляет механизм шифрования и аутентификации. Кроме того, доступ к серверу NFS также ограничен указанными именами хостов и IP-адресами. Это делает NFS гораздо лучшим выбором для удаленных общих ресурсов по сравнению с Samba.
В этом руководстве мы сосредоточимся на фундаментальных сетевых концепциях NFS, в частности, на портах, используемых службами NFS. Как только мы поймем конкретные порты и службы общего ресурса NFS, мы сможем использовать их для настройки таких мер безопасности, как брандмауэры и устранение неполадок.
Как работает NFS
На момент написания этой статьи поддерживаются три версии NFS. NFS v2 — самый старый и наиболее широко поддерживаемый.
NFS v3 новее, чем NFS V2, и предлагает больше функций, таких как обработка переменного размера, улучшенная отчетность об ошибках и т.д. Однако NFS v3 несовместима с клиентами NFS v2.
Самая последняя версия NFS v4 предоставляет новые и улучшенные функции. Они включают в себя операции с отслеживанием состояния, обратную совместимость с NFS v2 и NFS v3, удаленное требование portmapper, межплатформенное взаимодействие, улучшенную обработку пространства имен, встроенную безопасность с ACL и Kerberos.
Ниже приводится сравнение NFS v3 и NFS v 4.
| Характерная черта | NFS v3 | NFS v4 |
| Транспортный протокол | TCP и UDP | Только UDP |
| Обработка разрешений | Unix | На базе Windows |
| Метод аутентификации | Auth_Sys — слабее | Kerberos (сильный) |
| Личность | Без гражданства | С сохранением состояния |
| Семантика | Unix | Unix и Windows |
В таблице выше показаны некоторые особенности протокола NFS 4 по сравнению с протоколом NFS 3.
NFS v4 не использует portmapper, а службы, требуемые NFS V2 и V3, не требуются. Следовательно, в NFS v4 требуется только порт 2049.
Однако для NFS v2 и v2 требуются дополнительные порты и службы, которые мы собираемся обсудить в этом руководстве.
Требуемые службы (NFS v2 и V3)
Как уже упоминалось, NFS v2 и v3 используют службу portmap. Служба portmap в Linux обрабатывает удаленные вызовы процедур, которые NFS (v2 и v3) использует для кодирования и декодирования запросов между клиентом и серверами.
Для реализации совместного использования NFS требуются следующие службы. Имейте в виду, что это только для NFS v2 и v3.
#: Portmapper
Служба Portmapper требуется для запуска NFS как на стороне клиента, так и на стороне сервера. Он работает на порту 111 для протоколов TCP и UDP.
Если вы используете брандмауэр, убедитесь, что этот порт разрешен для входящих и исходящих пакетов.
#: Mountd
Другая служба, необходимая для запуска NFS, — это демон mountd. Эта служба работает на сервере NFS и используется для обработки запросов монтирования от клиентов NFS. В основном это обрабатывается службой nfsd и не требует настройки пользователя.
Однако вы можете отредактировать конфигурацию, чтобы установить статический порт в файле / etc / sysconfig / nfs. Найдите / и установите:
Это демон NFS, который работает на серверах NFS. Это критически важная служба, которая работает с ядром Linux и обеспечивает такие функции, как серверные потоки, для всех клиентов, подключенных к серверу.
По умолчанию демон NFS уже настроен для запуска статического порта 2049. Порт является истинным для протоколов TCP и UDP.
#: Lockd и Statd
Демон NFS Lock Manager (lockd) и демон Status Manager (statd) — это другие службы, необходимые для запуска NFS. Эти демоны работают как на стороне сервера, так и на стороне клиента.
Демон lockd позволяет клиентам NFS блокировать файлы на сервере NFS.
С другой стороны, демон statd отвечает за уведомление пользователей о перезапуске сервера NFS без корректного завершения работы. Он реализует протокол RPC монитора состояния сети.
Хотя обе эти службы запускаются автоматически службой nfslock, вы можете настроить их для запуска статического порта, что может быть полезно в конфигурациях брандмауэра.
Установите статический порт для демонов statd и lockd, отредактируйте / etc / sysconfig / nfs и введите следующие записи.
Краткое резюме
Давайте кратко рассмотрим то, что мы только что рассмотрели.
Если вы используете NFS v4, все, что вам нужно, это разрешить порт 2049. Однако, если вы используете NFS v2 или v3, вам необходимо отредактировать файл / etc / sysconfig / nfs и добавить порты для следующих служб.
Наконец, вам необходимо убедиться, что демон NFSD работает на порту 2049, а средство отображения портов — на порту 111.
ПРИМЕЧАНИЕ. Если файл / etc / sysconfig / nfs не существует, создайте его и добавьте записи, указанные в руководстве.
Вы также можете проверить / var / log / messages, если служба NFS не запускается правильно. Убедитесь, что указанные вами порты не используются.
Пример конфигурации
Ниже приведены параметры конфигурации сервера NFS на сервере CentOS 8.
После того, как вы отредактировали конфигурацию и добавили необходимые порты, как описано в руководстве, перезапустите службу как:
Затем подтвердите, что служба запущена, используя команду:
Наконец, подтвердите работу портов с помощью rpcinfo, как показано в приведенной ниже команде:
Заключение
В этом руководстве обсуждались основы сетевого протокола NFS, а также порты и службы, необходимые для NFS v2, v3 и v4.